Tras la última «actualización» de los permisos con la que Meta va a someter a sus usuarios un poco más, aparece ahora en escena, como sortea la privacidad y rastrea la actividad durante el uso de sus aplicaciones, sin consentimiento del usuario y aunque se recurra al modo incógnito o se utilice una VPN durante la navegación. Y es que, no pasa demasiado tiempo, sin que el gigante de las redes sociales, Meta, se convierta en noticia por una u otra razón, la mayoría de ocasiones con polémica servida. En este artículo, vamos a conocer más sobre el asunto.
El profesor de privacidad y rastreo online Günes Acar, de la Universidad Radboud, buscaba un ejemplo curioso de rastreo en la web de su universidad: “Sabía que la página tenía varios rastreadores, incluyendo el de Facebook, pero vi una conexión con un puerto local, mi propio ordenador. Al principio no entendí nada”. Acar investigó en internet y encontró algunos foros de desarrolladores de Facebook donde se quejaban de la misma y curiosa situación. “Pero Facebook no respondía, y alguien dijo: ‘Ya no lo veo más’. No es que Facebook cesara en su actividad, tan sólo habían cambiado a otro método más oculto”, explicó Acar.
Acar consultó el caso con Narseo Vallina-Rodríguez, investigador de Imdea Networks y especialista en seguridad para aplicaciones móviles. Su primera reacción fue de gran sorpresa: “¿Podría Meta intentar algo nuevo para sortear los permisos de privacidad de los navegadores?”. Para averiguarlo, probaron conexiones entre Facebook e Instagram, apps de Meta, descubriendo que estaban uniendo la información de sus apps con la navegación de los usuarios, incluso en modo incógnito o con VPN. Los detalles técnicos están explicados en la página específica creada por los académicos.
Eso sí, Meta ya se ha encargado de envíar vía email a sus usuarios, la advertencia sobre los cambios en su política de privacidad, claro está, alegando como siempre una mejor experiencia durante el uso de sus aplicaciones.
“Vimos que la web se comunica con la app móvil para intercambiar información”, explica Vallina-Rodríguez. “Lo que significa que forma parte de una estrategia para desanonimizar el tráfico web desde móviles Android. Este comportamiento sólo se activa al probar piezas específicas de software, lo que lo hace más difícil de detectar”.
El pasado lunes, Meta desactivó el sistema tras las preguntas de medios globales como en el caso del diario EL PAÍS, alegando que: “Estamos hablando con Google para aclarar un posible malentendido sobre sus políticas. Hemos decidido pausar la función mientras trabajamos con Google para resolver el asunto”, aseguraba un portavoz de Meta. Fuentes de Google confirman la gravedad del asunto alegando: “Los desarrolladores mencionados están utilizando involuntariamente funciones de navegadores de iOS y Android, violando nuestros principios de seguridad y privacidad, por lo que hemos implementado cambios, permaneciendo en contacto con las partes.”
Por su parte, Mozilla también está desarrollando una solución para proteger a los usuarios de Firefox en Android ante este nuevo tipo de rastreo. “Consideramos que viola gravemente nuestras políticas contra el rastreo”, declaró una portavoz de la Fundación Mozilla. “Los investigadores han descubierto que apps nativas de Android (como Facebook, Instagram y varias apps de Yandex), están abusando de los permisos del sistema junto con fragmentos de código (scripts) maliciosos online para rastrear a usuarios», añadía la portavoz.
Pasada en la frenada
Google ya está parcheando su navegador, para que Meta no pueda aprovechar ese agujero. La vulnerabilidad afecta a otros navegadores que funcionan en Android, como Firefox, Edge o DuckDuckGo, lo que ha generado preocupación en la comunidad de usuarios conscientes de su privacidad.
Tras conocerse la noticia, una portavoz de DuckDuckGo aseguró que los rastreadores de Meta no afectaban a su navegador, pero sí se vieron obligados a bloquear específicamente los de Yandex, dado que la protección de la privacidad de los usuarios es una prioridad para ellos. “Hemos investigado distintos ámbitos como este, pero esta vez se han pasado”, añadía Acar. “Es algo que realmente ha sorprendido a gente muy experimentada en el sector de la privacidad, quienes no esperaban ver un fallo de esta magnitud en navegadores tan utilizados y que, en teoría, deberían garantizar la seguridad de datos sensibles. La situación ha provocado una llamada urgente a la acción, para re-evaluar las medidas de seguridad y reforzar la confianza del usuario en estas plataformas».
Que se sepa, Meta usaba este método desde septiembre de 2024. Podría estar relacionado con los cambios en la política de cookies que Google lleva años tratando de implantar. Posiblemente, hayan lanzado este nuevo método como reacción a las nuevas iniciativas que intentan limitar, como el rastreo de terceros en los navegadores, el Privacy Sandbox de Google.
Además de Meta, los investigadores descubrieron que la plataforma rusa Yandex, llevaba a cabo la misma práctica desde 2017, sin que nadie se hubiese dado cuenta. Pese a que la primera versión de este sistema de comunicación de Meta era muy parecida a la de Yandex, porque ambas usaban conexiones al puerto local, o sea, al propio dispositivo del usuario, es difícil confirmar la coincidencia, ya que después, Meta cambió a otros protocolos un poco más difíciles de detectar, algo que sostiene Vallina-Rodríguez.
El funcionamiento de este sistema requería el logueado del usuario en su app de Instagram o Facebook en su dispositivo Android y que las páginas webs tuvieran instalado el Meta Pixel, código que permite el rastreo. Aproximadamente, al menos el 20% de las páginas más visitadas tienen este píxel, que genera una cookie cuando un usuario las visita. Dicho píxel, abría una conexión con la app móvil, vinculando esa cookie con nuestra identidad, enviándola a los servidores de Meta.
Dicha cookie, no permitía el rastreo mientras el usuario saltaba entre webs. Por ello, este método es tan intrusivo, novedoso e ilegal. Para poder vincular las cookies con nuestra identidad, los rastreadores normalmente recogen nuestro nombre o hash de nuestro correo electrónico, a través de un formulario de registro en las webs donde esté disponible. Aunque en este caso, dichos rastreadores no necesitan hacerlo, ya que los usuarios ya están logueados en la app de Facebook o Instagram. Por ello, al realizar la conexión a través del puerto local de nuestro móvil, pueden saltarse todos los controles de privacidad del navegador, incluso el modo incógnito y asociar las cookies con nuestra identidad real.
La información obtenida, no sólo incluye las páginas visitadas, sino muchas de nuestras acciones en ellas. Detectan con detalle todo lo que hacemos en la web: buscar un producto, añadirlo al carrito, hacer una compra o registrarnos. Hay una gran variedad de datos obtenidos. Por lo que, cada vez que hacemos algo, lo envían a sus servidores. Más allá de saber simplemente que entramos a una web.
Entre otras, esta circunstancia explica el hecho que sorprende a miles de usuarios a los que, tras realizar ciertas actividades en Internet, les aparecen después sugerencias relacionadas a través de redes sociales como Facebook, sin ir más lejos.
STI 2020 ® 
Deja un comentario